Всем привет!!!
Компания Synology начиная с DSM 7.2 внедрила функционал шифрования томов. Я расскажу как зашифровать том и почему вам это не нужно.
Не шифруйте свои данные, так как чаще всего это приводит к их потери чем к сохранности.
Шифрование тома или диска — технология шифрования данных, позволяющая защитить их от несанкционированного доступа. Такая технология уже давно есть у Windows и MacOS и теперь она появилась у Synology NAS.
Ранее в Synology NAS была возможность зашифровать общую папку на томе и это по-прежнему возможно, но многим этого было мало, они просили сделать шифрование всего тома и компания пошла на встречу своим клиентам. Хотя как по мне это не нужная вещь, хотя конечно везде бывают исключения.
Я уже делал инструкцию по шифрованию общих папок, если хотите, то переходите по ссылке или найдите в поиске на моем сайте.
Ниже на картинках с сайта производителя сказано, что шифрование тома на 48% производительнее чем шифрование общих папок. Я это верю, так как это вполне закономерно. Но вот умалчивается на сколько шифрованный том медленнее чем не шифрованный, а он точно менее производительный и больше напрягает процессор при записи данных, так как их нужно шифровать.
Канал Дзен
Группа ВКонтакте
Канал YouTube
Канал Rutube
В теории можно создать один большой зашифрованный том и полностью всю информацию и приложения хранить на нем. Но как я и говорил это приведет к повышенной нагрузке на процессор и замедлению операций ввода вывода, пусть и незначительных.
В целом, если вы решитесь на создание шифрованного тома, то я рекомендую сделать так: Создать два тома на пуле ресурсов. Первый Том1 обычный, без шифрования, а второй Том2 уже с полным шифрованием. На Том2 и будут данные которые нуждаются в защите от несанкционированного доступа, если диски или само устройство будут украдены. На Том1 будите устанавливать приложения, хранить и пользоваться различными данными, которые в такой защите не нуждаются.
Да конечно можно создать один том на весь пул ресурсов и его зашифровать, это так же будет работать и после перезагрузки все пройдет так же как и без шифрования, никакого ключа не потребуется. Но вот после обновления приложения будут недоступны, пока не введете ключ и пароль от хранилища. Это может привести к необычным проблемам.
Нужно отметить, что для создания тома в пуле ресурсов должно быть свободное место и с 99.9% вероятностью такого места не будет ни у кого. В таком случаи нужно либо поставить дополнительные диски, создать на них новый пул ресурсов и новый том, либо нужно удалять полностью существующий том, вместе со всеми приложениями и данными, которые есть на нем.
Если вы все же решились делать зашифрованный том, то переходим в диспетчер хранения, пул ресурсов и создаем новый Том. Если пул ресурсов еще не создан, то создаете сперва его.
Теперь нужно выбрать размер нового тома
Далее выбрать файловую систему нового тома
И установить опцию зашифровать том. Внимательно читайте все что написано в этом окне. Я все же настоятельно не рекомендую делать шифрование, это опаснее чем наоборот.
Сразу на следующем этапе нужно придумать и запомнить сложный пароль от локального хранилища ключей
Внимательно ознакомьтесь с этой информацией и если все правильно нажмите применить
Сразу после нажатия кнопки применить система предложит скачать файл с именем NameNAS_volumeX.rkey. Сохраните этот файл в надежном месте, а лучше в трех разных надежных местах. Без этого файла никто не сможет расшифровать ваши данные на зашифрованном томе.
Как только вы сохранили файл, установите галочку и нажмите ОК
Через 1-5 минут том создастся и за шифруется. У зашифрованного тома в диспетчере хранения будет значок с замочком. Больше нигде в системе не будет видно, что данный том зашифрован.
В глобальных настройках диспетчера хранения будет активировано локальное хранилище ключей
Так же компания Synology позаботилась об удаленном хранилище ключей. Для этого нужно перейти в панель управления, безопасность и открыть вкладку KMIP. Тут можно указать на каком сервере будут храниться ключи от зашифрованных томов, что бы после перезагрузки они примонтировались автоматически.
Так же каждый Synology NAS может выступать в роли сервера ключей. Для этого внизу вкладки KMIP есть соответствующие настройки как показано на картинке ниже
На этом статья закончена. Я надеюсь вы благоразумные люди и не будите включать шифрование томов, надеюсь мое видео в этом вам поможет.
